こんにちはsaiです。また情報漏えいが発生してしまいました。今回はウィルスによるものでは無く、大阪府にある〇〇市民病院が単に人間による甘さが招いた事故だと推測されます。
「患者7千人の個人情報、HPに誤って公開 〇〇市民病院」と言う事ですがHPに一般の方が自由に閲覧出来る状態であった模様です。でも何故患者の個人情報と言えばカルテ内にあるはず、わざわざエクセルにまとめたのだろうか。集計のための作成とかそれは分かります。集計しても何も問題はありません。
ただ今回の事故でわからないのは、HPのデータを置いているネットワーク上とカルテのあるネットワークはWAN等で分離独立しているはずだから交わることはない。故に何故危険なネットワーク上にデータを持って行った?理解できない。なぜWANで切り離しているのにあえて危険を犯した?
推測だがルールを無視しカルテ個人情報を抽出し媒体等に入れ持ち出し、HP上のデータを置いているネットワーク環境で編集作業でもしていたのだろう。PDFにせずにタブ付きエクセルファイルをアップした。そもそもエクセル自体はそのままはアップはしないものだ。HP見栄えも悪いし、エクセルタブもあるからだ。だからPDFにする。PDFなら誰でも開けるメリットさえあるからだ。
問題はそれだけではない何故WAN環境から取り出したかだ。ルールを無視し編集する場所を間違えた結果ではないか。
エクセル編集するならカルテのある環境でやればよかったのだ。利便性を考えたのだろうか。セキリティを甘く考えたのかわからないが、一般環境のネットワーク内に持ち込んだ自体不味かった。
システム管理者は気づかなかったのか、知っていたのかは分からないがルール上は間違った行為だったことは確かです。何のための独立した環境だったのか意味をなさなくなります。
今回の情報漏れはある意味、名前、生年月日、カード情報などの洩れより痛い。病歴が記載されており公にされたのだから痛みは大きいはずです。通常の病院からの謝罪やら一般的な迷惑料では済まないだろう。金額はもとより相当の信用失墜は大きい。
たった1度のセキリティの甘さが起こし、その事故の影響は計り知れなく大きいでしょう。間違ったからごめんなさいでは今回ばかりは済みそうにない気がする。
Leave a Reply